У меня в домашнем офисе установлен контроллер домена, 1 контроллер домена, 1 ПК, 1 пользователь.
Я использую Microsoft Server 2019.
Когда я просматриваю журнал событий безопасности, я вижу тысячи событий входа в систему (идентификатор события 4624), выхода из системы (идентификатор события 4634 и специальный вход в систему (идентификатор события 4672) — сотни генерируемых в час.
Пример события входа в систему (идентификатор события 4624):
Предмет:
Идентификатор безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Идентификатор входа: 0x0
Информация для входа:
Тип входа: 3
Ограниченный режим администратора: -
Виртуальная учетная запись: нет
Повышенный токен: Да
Уровень олицетворения: делегирование
Новый вход:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DC$
Домен учетной записи: ACME.LTD
Идентификатор входа: 0x234F28
Связанный идентификатор входа: 0x0
Имя сетевой учетной записи: -
Домен сетевой учетной записи: -
Я исследовал их и онлайн и нашел противоречивые советы, в том числе предположение о том, что сервер скомпрометирован, что сеть скомпрометирована, что это с рабочих станций, обращающихся к серверу, и что это сервер, аутентифицирующий себя.
Именно поэтому по наитию я очистил журналы и отключил сервер от сети — эти события продолжали генерироваться.
К сожалению, из-за всего этого шума у меня нет возможности обнаружить настоящие подозрительные ошибки.
Любая помощь будет оценена!!
